2. גומע אָנלייגן: אַנאַליסיס פון זיכערהייַט לאָגס. Logstash

אין דער פאַרגאַנגענהייט אַרטיקל מיר באגעגנט ELK אָנלייגן, וואָס ווייכווארג פּראָדוקטן עס באשטייט פון. און דער ערשטער אַרבעט וואָס אַ ינזשעניר פייסיז ווען ארבעטן מיט די ELK אָנלייגן איז שיקט לאָגס פֿאַר סטאָרידזש אין לאַסטיק זוכן פֿאַר סאַבסאַקוואַנט אַנאַליסיס. אָבער, דאָס איז נאָר ליפּ סערוויס, elasticsearch סטאָרז לאָגס אין די פאָרעם פון דאָקומענטן מיט זיכער פעלדער און וואַלועס, וואָס מיטל אַז דער ינזשעניר מוזן נוצן פאַרשידן מכשירים צו פּאַרסירן די אָנזאָג וואָס איז געשיקט פֿון די סוף סיסטעמען. דאָס קען זיין געטאן אין עטלעכע וועגן - שרייַבן אַ פּראָגראַם זיך וואָס וועט לייגן דאָקומענטן צו די דאַטאַבייס ניצן די אַפּי, אָדער נוצן פאַרטיק סאַלושאַנז. אין דעם קורס מיר וועלן באַטראַכטן די לייזונג לאָגסטאַש, וואָס איז טייל פון די ELK אָנלייגן. מיר וועלן קוקן ווי מיר קענען שיקן לאָגס פון ענדפּוינט סיסטעמען צו Logstash, און דערנאָך מיר שטעלן אַ קאַנפיגיעריישאַן טעקע צו פּאַרס און רידערעקט צו די Elasticsearch דאַטאַבייס. צו טאָן דאָס, מיר נעמען לאָגס פון די טשעק פּוינט פיירוואַל ווי די ינקאַמינג סיסטעם.

דער קורס טוט נישט דעקן די ינסטאַלירונג פון ELK סטאַק, ווייַל עס זענען אַ ריזיק נומער פון אַרטיקלען אויף דעם טעמע; מיר וועלן באַטראַכטן די קאַנפיגיעריישאַן קאָמפּאָנענט.

לאָמיר מאַכן אַן אַקציע פּלאַן פֿאַר Logstash קאַנפיגיעריישאַן:

1. קאָנטראָלירן אַז Elasticsearch וועט אָננעמען לאָגס (קאָנטראָלירן די פאַנגקשאַנאַליטי און אָופּאַננאַס פון די פּאָרט).
2. מיר באַטראַכטן ווי מיר קענען שיקן events צו Logstash, קלייַבן אַ אופֿן און ינסטרומענט עס.
3. מיר קאַנפיגיער אַרייַנשרייַב אין די Logstash קאַנפיגיעריישאַן טעקע.
4. מיר קאַנפיגיער רעזולטאַט אין די Logstash קאַנפיגיעריישאַן טעקע אין דיבאַג מאָדע צו פֿאַרשטיין ווי די קלאָץ אָנזאָג קוקט ווי.
5. באַשטעטיקן פילטער.
6. באַשטעטיקן די ריכטיק רעזולטאַט אין ElasticSearch.
7. Logstash לאָנטשיז.
8. קאָנטראָלירן די לאָגס אין קיבאַנאַ.

זאל ס קוק אין יעדער פונט אין מער דעטאַל:

קאָנטראָלירן אַז Elasticsearch וועט אָננעמען לאָגס

צו טאָן דאָס, איר קענען נוצן די קערל באַפֿעל צו קאָנטראָלירן אַקסעס Elasticsearch פֿון די סיסטעם אויף וואָס Logstash איז דיפּלויד. אויב איר האָבן אָטענטאַקיישאַן קאַנפיגיערד, מיר אויך אַריבערפירן די באַניצער / פּאַראָל דורך קערל, ספּעציפיצירן פּאָרט 9200 אויב איר האָט נישט טשיינדזשד עס. אויב איר באַקומען אַן ענטפער ענלעך צו דער אונטן, אַלץ איז אין סדר.

[elastic@elasticsearch ~]$ curl -u <<user_name>> : <<password>> -sS -XGET "<<ip_address_elasticsearch>>:9200"
{
  "name" : "elastic-1",
  "cluster_name" : "project",
  "cluster_uuid" : "sQzjTTuCR8q4ZO6DrEis0A",
  "version" : {
    "number" : "7.4.1",
    "build_flavor" : "default",
    "build_type" : "rpm",
    "build_hash" : "fc0eeb6e2c25915d63d871d344e3d0b45ea0ea1e",
    "build_date" : "2019-10-22T17:16:35.176724Z",
    "build_snapshot" : false,
    "lucene_version" : "8.2.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}
[elastic@elasticsearch ~]$

אויב דער ענטפער איז נישט באקומען, עס קען זיין עטלעכע טייפּס פון ערראָרס: די Elasticsearch פּראָצעס איז נישט פליסנדיק, די פאַלש פּאָרט איז ספּעסיפיעד, אָדער די פּאָרט איז אפגעשטעלט דורך אַ פיירוואַל אויף די סערווער ווו Elasticsearch איז אינסטאַלירן.

זאל ס קוק ווי איר קענען שיקן לאָגס צו Logstash פֿון אַ טשעק פונט פיירוואַל

פֿון טשעק פּוינט פאַרוואַלטונג סערווער איר קענען שיקן לאָגס צו Logstash דורך סיסלאָג ניצן די log_exporter נוצן, איר קענען לייענען מער וועגן אים דאָ אַרטיקל, דאָ מיר לאָזן בלויז די באַפֿעל וואָס קריייץ דעם טייַך:

cp_log_export לייגן נאָמען טשעק_פּאָינט_סיסלאָג ציל-סערווער < > ציל-פּאָרט 5555 פּראָטאָקאָל טקפּ פֿאָרמאַט דזשאַנעריק לייענען-מאָדע האַלב-ונאַפייד

< > - אַדרעס פון די סערווער אויף וואָס Logstash לויפט, ציל-פּאָרט 5555 - פּאָרט צו וואָס מיר וועלן שיקן לאָגס, שיקן לאָגס דורך tcp קענען לאָדן די סערווער, אַזוי אין עטלעכע קאַסעס עס איז מער ריכטיק צו נוצן ודפּ.

באַשטעטיקן ינפּוט אין די Logstash קאַנפיגיעריישאַן טעקע

דורך פעליקייַט, די קאַנפיגיעריישאַן טעקע איז ליגן אין די /etc/logstash/conf.d/ וועגווייַזער. די קאַנפיגיעריישאַן טעקע באשטייט פון 3 מינינגפאַל פּאַרץ: ינפּוט, פילטער, רעזולטאַט. אין אַרייַנשרייַב מיר אָנווייַזן ווו די סיסטעם וועט נעמען לאָגס פון, אין פילטער פּאַרס די קלאָץ - שטעלן אַרויף ווי צו טיילן דעם אָנזאָג אין פעלדער און וואַלועס, אין רעזולטאַט מיר קאַנפיגיער די רעזולטאַט טייַך - ווו די פּאַרסעד לאָגס וועט זיין געשיקט.

ערשטער, לאָזן אונדז קאַנפיגיער INPUT, באַטראַכטן עטלעכע טייפּס וואָס קענען זיין - טעקע, tcp און exe.

טקפּ:

input {
tcp {
    port => 5555
    host => “10.10.1.205”
    type => "checkpoint"
    mode => "server"
}
}

מאָדע => "סערווירער"
ינדיקייץ אַז Logstash איז אַקסעפּטינג קאַנעקשאַנז.

פּאָרט => 5555
באַלעבאָס => "10.10.1.205"
מיר אָננעמען קאַנעקשאַנז דורך IP אַדרעס 10.10.1.205 (לאָגסטאש), פּאָרט 5555 - די פּאָרט מוזן זיין ערלויבט דורך די פיירוואַל פּאָליטיק.

טיפּ => "טשעקפּוינט"
מיר צייכן דעם דאָקומענט, זייער באַקוועם אויב איר האָבן עטלעכע ינקאַמינג קאַנעקשאַנז. דערנאָך, פֿאַר יעדער קשר איר קענען שרייַבן דיין אייגענע פילטער מיט די לאַדזשיקאַל אויב בויען.

טעקע:

input {
  file {
    path => "/var/log/openvas_report/*"
    type => "openvas"
    start_position => "beginning"
    }
}

באַשרייַבונג פון סעטטינגס:
דרך => "/וואַר/לאָג/אָפּענעוואַס_רעפּאָרט/*"
מיר אָנווייַזן די וועגווייַזער אין וואָס די טעקעס דאַרפֿן צו זיין לייענען.

טיפּ => "אָפּענעוואַס"
געשעעניש טיפּ.

start_position => "אָנהייב"
ווען טשאַנגינג אַ טעקע, עס לייענט די גאנצע טעקע; אויב איר שטעלן "סוף", די סיסטעם ווייץ פֿאַר נייַע רעקאָרדס צו דערשייַנען אין די סוף פון דער טעקע.

עקסעק:

input {
  exec {
    command => "ls -alh"
    interval => 30
  }
}

ניצן דעם אַרייַנשרייַב, אַ (בלויז!) שאָל באַפֿעל איז לאָנטשט און זייַן רעזולטאַט איז פארקערט אין אַ קלאָץ אָנזאָג.

באַפֿעל => "לס -אַלה"
דער באַפֿעל וועמענס רעזולטאַט מיר זענען אינטערעסירט אין.

מעהאַלעך => 30
באַפֿעלן ינוואָקאַטיאָן מעהאַלעך אין סעקונדעס.

אין סדר צו באַקומען לאָגס פון די פיירוואַל, מיר רעגיסטרירן אַ פילטער tcp אָדער פּוד, דיפּענדינג אויף ווי די לאָגס זענען געשיקט צו Logstash.

מיר קאַנפיגיער רעזולטאַט אין די Logstash קאַנפיגיעריישאַן טעקע אין דיבאַג מאָדע צו פֿאַרשטיין ווי די קלאָץ אָנזאָג קוקט ווי

נאָך מיר האָבן קאַנפיגיערד INPUT, מיר דאַרפֿן צו פֿאַרשטיין ווי די קלאָץ אָנזאָג וועט קוקן ווי און וואָס מעטהאָדס דאַרפֿן צו זיין געוויינט צו קאַנפיגיער די קלאָץ פילטער (פּאַסער).

צו טאָן דאָס, מיר וועלן נוצן אַ פילטער וואָס אַוטפּוץ די רעזולטאַט צו סטדאָוט צו זען די אָריגינעל אָנזאָג; די גאַנץ קאַנפיגיעריישאַן טעקע אין דעם מאָמענט וועט קוקן ווי דאָס:

input 
{
         tcp 
         {
                port => 5555
  	  	type => "checkpoint"
    		mode => "server"
                host => “10.10.1.205”
   	 }
}

output 
{
	if [type] == "checkpoint" 
       {
		stdout { codec=> json }
	}
}

לויפן די באַפֿעל צו קאָנטראָלירן:
sudo /usr/share/logstash/bin//logstash -f /etc/logstash/conf.d/checkpoint.conf
מיר זען די רעזולטאַט, די בילד איז קליקקאַבלע:

אויב איר נאָכמאַכן עס, עס וועט קוקן ווי דאָס:

action="Accept" conn_direction="Internal" contextnum="1" ifdir="outbound" ifname="bond1.101" logid="0" loguid="{0x5dfb8c13,0x5,0xfe0a0a0a,0xc0000000}" origin="10.10.10.254" originsicname="CN=ts-spb-cpgw-01,O=cp-spb-mgmt-01.tssolution.local.kncafb" sequencenum="8" time="1576766483" version="5" context_num="1" dst="10.10.10.10" dst_machine_name="[email protected]" layer_name="TSS-Standard Security" layer_name="TSS-Standard Application" layer_uuid="dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0" layer_uuid="dbee3718-cf2f-4de0-8681-529cb75be9a6" match_id="8" match_id="33554431" parent_rule="0" parent_rule="0" rule_action="Accept" rule_action="Accept" rule_name="Implicit Cleanup" rule_uid="6dc2396f-9644-4546-8f32-95d98a3344e6" product="VPN-1 & FireWall-1" proto="17" s_port="37317" service="53" service_id="domain-udp" src="10.10.1.180" ","type":"qqqqq","host":"10.10.10.250","@version":"1","port":50620}{"@timestamp":"2019-12-19T14:50:12.153Z","message":"time="1576766483" action="Accept" conn_direction="Internal" contextnum="1" ifdir="outbound" ifname="bond1.101" logid="0" loguid="{0x5dfb8c13,

קוקן אין די אַרטיקלען, מיר פֿאַרשטיין אַז די לאָגס קוקן ווי: פעלד = ווערט אָדער שליסל = ווערט, וואָס מיטל אַ פילטער גערופן kv איז פּאַסיק. אין סדר צו קלייַבן די רעכט פילטער פֿאַר יעדער ספּעציפיש פאַל, עס וואָלט זיין אַ גוטע געדאַנק צו זיין באַקאַנט מיט זיי אין די טעכניש דאַקיומענטיישאַן, אָדער פרעגן אַ פרייַנד.

באַשטעטיקן פילטער

אין די לעצטע בינע מיר אויסגעקליבן קוו, די קאַנפיגיעריישאַן פון דעם פילטער איז דערלאנגט אונטן:

filter {
if [type] == "checkpoint"{
	kv {
		value_split => "="
		allow_duplicate_values => false
	}
}
}

מיר סעלעקטירן דעם סימבאָל מיט וואָס מיר טיילן די פעלד און ווערט - "=". אויב מיר האָבן יידעניקאַל איינסן אין די קלאָץ, מיר ראַטעווען בלויז איין בייַשפּיל אין די דאַטאַבייס, אַנדערש איר וועט סוף אַרויף מיט אַ מענגע פון ​​יידעניקאַל וואַלועס, דאָס איז, אויב מיר האָבן די אָנזאָג "foo = some foo = some" מיר שרייַבן בלויז foo. = עטלעכע.

באַשטעטיקן די ריכטיק רעזולטאַט אין ElasticSearch

אַמאָל פילטער איז קאַנפיגיערד, איר קענען ופּלאָאַד לאָגס צו די דאַטאַבייס גומע זוכן:

output 
{
if [type] == "checkpoint"
{
 	elasticsearch 
        {
		hosts => ["10.10.1.200:9200"]
		index => "checkpoint-%{+YYYY.MM.dd}"
    		user => "tssolution"
    		password => "cool"
  	}
}
}

אויב דער דאָקומענט איז געחתמעט מיט די טשעקפּוינט טיפּ, מיר ראַטעווען די געשעעניש אין די Elasticsearch דאַטאַבייס, וואָס אַקסעפּץ קאַנעקשאַנז אויף 10.10.1.200 אויף פּאָרט 9200 דורך פעליקייַט. יעדער דאָקומענט איז געראטעוועט צו אַ ספּעציפיש אינדעקס, אין דעם פאַל מיר ראַטעווען צו די אינדעקס "טשעקפּוינט-" + קראַנט צייט טאָג. יעדער אינדעקס קענען האָבן אַ ספּעציפיש גאַנג פון פעלדער, אָדער איז באשאפן אויטאָמאַטיש ווען אַ נייַע פעלד איז ארויס אין אַ אָנזאָג; פעלד סעטטינגס און זייער טיפּ קענען זיין וויוד אין מאַפּינגז.

אויב איר האָבן אָטענטאַקיישאַן קאַנפיגיערד (מיר וועלן זען עס שפּעטער), די קראַדענטשאַלז פֿאַר שרייבן צו אַ ספּעציפיש אינדעקס מוזן זיין ספּעסיפיעד, אין דעם בייַשפּיל עס איז "צסאַלושאַן" מיט די פּאַראָל "קיל". איר קענען דיפערענשיייט באַניצער רעכט צו שרייַבן לאָגס בלויז צו אַ ספּעציפיש אינדעקס און ניט מער.

קאַטער Logstash.

Logstash קאַנפיגיעריישאַן טעקע:

input 
{
         tcp 
         {
                port => 5555
  	  	type => "checkpoint"
    		mode => "server"
                host => “10.10.1.205”
   	 }
}

filter {
        if [type] == "checkpoint"{
	kv {
		value_split => "="
		allow_duplicate_values => false
	}
        }
}

output 
{
if [type] == "checkpoint"
{
 	elasticsearch 
        {
		hosts => ["10.10.1.200:9200"]
		index => "checkpoint-%{+YYYY.MM.dd}"
    		user => "tssolution"
    		password => "cool"
  	}
}
}

מיר קאָנטראָלירן די קאַנפיגיעריישאַן טעקע פֿאַר ריכטיק:
/usr/share/logstash/bin//logstash -f checkpoint.conf


אָנהייב דעם Logstash פּראָצעס:
סודאָ סיסטעמקטל אָנהייב לאָגסטאַש

מיר קאָנטראָלירן אַז דער פּראָצעס איז סטאַרטעד:
sudo systemctl סטאַטוס לאָגסטאַש

זאל ס טשעק אויב די כאָלעל איז אַרויף:
netstat -nat |grep 5555

קאָנטראָלירן די לאָגס אין קיבאַנאַ.

נאָך אַלץ איז פליסנדיק, גיין צו Kibana - אַנטדעקן, מאַכן זיכער אַז אַלץ איז קאַנפיגיערד ריכטיק, די בילד איז קליקקאַבלע!

אַלע לאָגס זענען אין פּלאַץ און מיר קענען זען אַלע די פעלדער און זייער וואַלועס!

סאָף

מיר געקוקט אויף ווי צו שרייַבן אַ Logstash קאַנפיגיעריישאַן טעקע, און ווי אַ רעזולטאַט מיר באַקומען אַ פּאַרסער פון אַלע פעלדער און וואַלועס. איצט מיר קענען אַרבעטן מיט זוכן און פּלאַטינג פֿאַר ספּעציפיש פעלדער. ווייַטער אין דעם קורס מיר וועלן קוקן אין וויזשוואַלאַזיישאַן אין קיבאַנאַ און מאַכן אַ פּשוט דאַשבאָרד. עס איז כדאי צו דערמאָנען אַז די Logstash קאַנפיגיעריישאַן טעקע דאַרף קעסיידער דערהייַנטיקט אין זיכער סיטואַטיאָנס, למשל, ווען מיר ווילן צו פאַרבייַטן די ווערט פון אַ פעלד פון אַ נומער צו אַ וואָרט. אין סאַבסאַקוואַנט אַרטיקלען מיר וועלן טאָן דאָס קעסיידער.

אַזוי בלייבן טונד (טעלעגראַם, facebook, VK, TS לייזונג בלאָג), Yandex Zen.

מקור: www.habr.com